[데이터넷] 지난해 합법적인 HTML과 자바스크립트 기능을 활용한 HTML 스머글링(HTML Smuggling) 공격이 피싱, 원격관리도구(RAT) 악용 공격에 사용됐다. HTML 첨부파일이나 웹페이지 내 인코딩된 악성스크립트를 숨겨 사용자가 웹브라우저에서 HTML을 열면 브라우저가 자동으로 악성 스크립트를 디코딩해 피해자 PC에 페이로드를 실행시킨다. 방화벽을 거치지 않고 웹에서 직접 사용자 PC를 감염시키며, 공격자는 HTML 코드를 난독화 해 SWG나 백신·샌드박스 분석도 우회할 수 있다.

HTML 스머글링과 같이 웹을 이용한 공격도 APT의 전형적인 공격 방식이다. 멘로시큐리티는 웹 브라우저를 공격 벡터로 활용해 보안탐지를 회피하는 공격을 HEAT(Highly Evasive Adaptive Threat)라고 명명하고 대응 방안이 시급하다고 주장했다.

멘로시큐리티 조사에 따르면 2021년 7월부터 12월까지 HEAT 공격이 2배 증가했으며, 69%는 악성 URL을 사용했고 1분마다 새로운 피싱 사이트를 생성시켰다. 검사 당시에는 정상 사이트였다가 검사를 마친 후 악성사이트로 바뀌는 사례는 2019년부터 2021년까지 9.5배 증가했다.

웹 기반 공격을 막을 방법으로 멘로시큐리티는 격리(Isolation) 기술을 소개한다. 원격지의 격리된 가상공간에서 웹페이지를 열어 웹에 숨은 공격이 사용자에게 닿지 않도록 하는 격리 기술은 웹 페이지 렌더링 속도 문제로 사용자 경험을 해칠 수 있어 많이 사용되지 않았다. 멘로는 특허받은 ‘ACR(Adaptive Clientless Rendering)’을 활용해 고속 렌더링 처리로 사용자 경험을 저해하지 않으면서 격리된 환경에서 웹 활동을 할 수 있게 한다.

한편 멘로시큐리티는 애플리케이션을 격리된 환경에서 보호하는 제로 트러스트 네트워크 액세스 솔루션 ‘멘로 프라이빗 액세스(MPA)’도 소개한다. 애플리케이션이나 서버가 외부에 노출되지 않아 계정을 탈취한 공격자가 무단으로 접근할 수 없으며, 강력하고 안전한 인증을 거친 정상 사용자만 권한 내에서 접속할 수 있게 한다. 에이전트 없이, 애플리케이션 수정·변경 없이, DNS 변경 없이 사용할 수 있어 편의성과 보안성을 함께 높일 수 있다.

악성메일 차단·훈련으로 스피어피싱 피해 예방

공격에 가장 많이 사용되는 이메일 보안 문제도 시급하다. 공격자들은 사회공학 기법을 이용해 사용자를 속이는데, 애플과 메타도 공무원을 사칭한 악성메일에 속아 개인정보를 넘겨준 사실이 뒤늦게 알려지기도 했다.

이메일 이용 공격을 막기위해 악성 메일을 선제적으로 차단하는 기술이 사용되지만, 교묘하게 정상적인 업무 메일로 위장하는 공격을 시그니처와 룰 기반 차단 기술로 막지 못한다. 특히 메일은 업무에 영향을 주기 때문에 오탐으로 정상메일을 차단하는 등 현업의 불만이 높아진다.

리얼시큐는 SMTP 응답코드를 통해 사칭메일 여부를 확인하는 리얼메일 서비스를 제공한다. 대부분의 사칭메일이 사설메일서버에서 발송된다는 점에 착안, SMTP 응답코드가 사설메일서버인 ‘55X’가 회신되면 사칭메일로 간주하고 차단하거나 사용자에게 경고를 준다.

악성메일 차단을 위해 시큐레터는 첨부문서의 의심스러운 코드를 리버스 엔지니어링으로 분석해 악성 여부를 판단한다. 비실행형 파일의 악성 여부를 분석하는 시큐레터 MARS 엔진은 이메일 기반 위협 대응에 탁월한다.

메일을 수신했을 때 정상 사용자·기관으로부터 수신된 정상 메일인지 반드시 확인하고, 의심스러운 URL은 클릭하지 않아야 하며, 알 수 없는 매크로 실행을 자제하는 것이 좋다. 이러한 보안 습관을 생활화하기 위해 정기적으로 모의훈련을 진행하는 것이 좋다.

투씨에스지가 제공하는 ‘BSD(BS-Defense Trainer)’는 실제 스피어피싱에 사용된 공격사례로 구성된 700여종의 훈련 시나리오를 제공해 효과적으로 모의훈련을 진행한다. BSD 도입 기업은 처음 훈련 시 감염율이 매우 높지만 반복 훈련할수록 감염율이 크게 떨어져 반복훈련 효과가 높다고 평가한다.

제로데이 공격 차단 위한 취약점 관리

공격 가성비를 높이는 것 중 하나가 취약점이다. 취약점 정보가 공개된 시점부터 패치되기까지 공격이 급증하는데, 이는 문이 열린 상태로 공격자들이 들어오는 것을 속수무책으로 보고만 있는 상황이나 다름없다.

취약점 문제를 가장 분명하게 알려준 것이 로그4j로, 거의 대부분의 애플리케이션에 취약한 파일이 포함돼 있는데, 많은 경우 써드파티 라이브러리나 리패키징, 스니펫 돼 있어 일반적인 스캐닝 툴로는 찾을 수 없는 것이었다.

그래서 취약점이 없는 버전으로 업데이트 해야 하는데, 마찬가지로 어느 애플리케이션에 취약한 버전이 있는지 확인하지 못하며, 다른 시스템에 영향을 줄 것을 우려해 파악된 취약점도 제대로 패치하지 못했다.

태니엄의 경우 광범위하게 분산된 시스템 환경에서 짧은 시간 내에 취약한 파일을 찾아 간단하게 조치할 수 있는 취약점 점검 모듈을 제공한다. 또한 위협헌팅을 통해 실시간 공격 증거를 찾아 공격이 피해로 이어지기 전에 조치할 수 있으며, 자산관리를 통해 취약점, 이상행위 등 1700여가지 위협 탐지 정보를 제공해 시스템을 안전하게 운영할 수 있게 한다.

기존 취약점 관리는 기업 내에서 운영하는 시스템과 애플리케이션을 주로 다뤘는데, 이제는 외부에 공개된 시스템의 취약점을 찾는 공격표면 관리(ASM) 기술도 중요하게 다뤄야 하는 상황이 됐다. 클라우드와 하이브리드 업무 환경이 확장되면서 기업 외부에서 접속하는 업무가 늘어났으며, 이로 인해 업무 시스템과 애플리케이션이 외부에 노출되고 있으며, 취약점이 공개된 시스템도 무방비로 공개된다. 또한 다크웹이나 공개출처정보(OSINT)를 통해 수집된 정보가 공격에 사용될 수 있기 때문에 이러한 정보도 빠르게 확인해 조치해야 할 필요가 있다.

ASM은 외부에 공개된 공격 가능한 취약점이나 정보를 찾아 조치할 수 있게 한 솔루션으로, 그룹아이비의 에셋제로가 국내에서 가장 먼저 소개하면서 시장 선점에 나섰다. 에셋제로는 다크웹 및 외부 공격표면을 스캔해 8가지 보안 카테고리로 검증하며, 발견된 이슈를 고객에게 알려주고 조치사항을 권고한다. 그룹아이비는 이외에도 브랜드 평판 관리, 위협 인텔리전스 등 다양한 모듈을 제공하면서 시장 점유율을 높이고 있다.

위협 인텔리전스로 공격 선제방어

위협 인텔리전스를 이용한 선제적인 위협 방어도 필수다. 전 세계에서 발생한 위협 정보를 이용해 현재 자사 내에서 탐지된 이벤트의 성격과 위험도, 공격그룹의 특징을 파악, 즉각적이고 효율적인 대책을 마련할 수 있다.

이 분야에서는 레코디드퓨처가 글로벌 시장을 리딩하고 있으며, 국내에서도 대규모 공공기관과 글로벌 기업 등 다수에 공급됐다. 레코디드퓨처 역시 위협인텔리전스와 다크웹 모니터링, 브랜드 평판관리, ASM 등 다양한 인텔리전스 모듈을 제공하고 있으며, 솔루션 도입 고객에게 위협 인텔리전스를 효과적으로 운영할 수 있는 교육을 정기적으로 제공한다.

공격자들이 주로 활동하는 다크웹이나 지하포럼에서 정보를 수집해 향후 발생할 수 있는 위협이나 유출된 개인정보·기밀정보 현황을 알려주고 선제적으로 대응할 수 있도록 모니터링하는 서비스도 최근 주목받고 있다. 국내 인텔리전스 기업 S2W는 다크웹, 텔레그램 등에서 수집된 범죄 정보를 우리나라 경찰청, 유로폴 등 수사기관에 제공해 사이버 범죄집단 검거를 위해 공조하고 있다.